CentOS 7 は既にサポートが終了しています。このページは新規構築を推奨するものではなく、過去環境の保守、移行前調査、設定の読み解きに使うためのレガシー Linux 手順です。新規構築では、現在サポートされている Linux ディストリビューションを利用してください。
CentOS 7 で SNMP エージェントを設定し、IPv4 / IPv6 の待ち受けを含めて snmpd.conf を整理する手順です。監視サーバーから CPU、メモリ、インターフェースなどを取得する既存環境を読むための内容です。
SNMPv2c のコミュニティ名は平文で流れるため、秘密情報として過信すべきではありません。コミュニティ名は読み取り範囲や監視用途を分けるキー程度に考え、実際の保護はネットワーク制御で行うのが妥当です。
必要パッケージをインストールする
yum install net-snmp net-snmp-utils設定ファイルをバックアップする
cp -a /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.baksnmpd.conf の基本例
rocommunity public 10.0.0.0/24
rocommunity6 public fd00::/64
sysLocation server-room
sysContact admin@example.com
agentAddress udp:161,udp6:[::1]:161snmpd を起動する
systemctl enable snmpd
systemctl restart snmpd
systemctl status snmpd取得を確認する
snmpwalk -v2c -c public 127.0.0.1 system
snmpwalk -v2c -c public localhost ifDescr待ち受けを確認する
ss -ulpn | grep snmpd確認するポイント
- SNMP を広いネットワークへ公開していないか。
- コミュニティ名を秘匿だけに頼っていないか。
- 読み取り専用に限定しているか。
- 監視サーバーからの通信だけを許可しているか。
- IPv6 待ち受けが必要か、不要なら閉じているか。
まとめ
SNMPv2c は、コミュニティ名で守る仕組みとして見ると弱いです。CentOS 7 の既存環境では、コミュニティ名をアクセス制御用の識別子として扱い、実際の防御は監視ネットワーク、ファイアウォール、到達範囲で設計するのが現実的です。
関連する記事
- CentOS 7 サーバー管理ガイド
CentOS 7 系の記事をまとめたハブページです。
参考書籍
参考
書籍
書籍
参考書籍
マスタリング TCP/IP 入門編 第6版
TCP/IP、Ethernet、VLAN、ルーティングなど、ネットワークの基礎を体系的に確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
CentOS 7 SNMP 設定 – IPv4 / IPv6 対応の snmpd.conf
関連記事
CentOS 6 SNMP 設定 – snmpd.conf と監視公開範囲の基本
CentOS 5 Net-SNMP 設定 – snmpd と監視項目の基本
CentOS 7 IPv6 無効化 – 既存環境で無効化する場合の確認点
CentOS 5 ISC DHCP サーバー構築 – dhcpd.conf と配布設定
CentOS 6 BIND 内部 DNS サーバー構築 – named.conf とゾーン設定
CentOS 6 ISC DHCP サーバー構築 – dhcpd.conf と配布設定
CentOS 5 OpenLDAP サーバー構築 – slapd.conf と初期データ登録
CentOS 5 Cacti モニタリングサーバー構築 – RRDtool と SNMP 監視